APLIKACE GDPR V PROSTŘEDÍ OBCÍ Tereza Šamanová GDPR školení pro obce Kraj Vysočina 6. 4. 2018 1
OBSAH I. Zákonnost zpracování osobních údajů v prostředí obcí III Specificky: Souhlas se zpracováním osobních údajů II. III. Práva subjektů údajů v prostředí obcí Povinnosti obcí jako správců osobních údajů Specificky: Pověřenec pro ochranu osobních údajů IV. Proces přípravy na aplikaci GDPR V. Časté situace ze života obcí: 1. Personální praxe a výběrová řízení 2. Zveřejňování odměn zaměstnanců 3. Platba místních poplatků 4. Uzavírání majetkových transakcí a jejich zveřejňování 5. Zveřejňování informací na úředních deskách 6. Zveřejňování materiálů v souvislosti s jednáním orgánů obce 7. Zveřejňování informací na webu obce 8. Zveřejňování informací v místních periodicích 9. Pořádání kulturních a společenských akcí 10. Činnost obecní knihovny Akademie GDPR, 2018 2
I. ZÁKONNOST ZPRACOVÁNÍ 3
PRÁVNÍ TITULY ZPRACOVÁNÍ OÚ III Úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci Plnění právní povinnosti Plnění smlouvy Oprávněné zájmy příslušného správce anebo třetí strany Ochrana životně důležitých zájmů subjektů údajů nebo jiné fyzické osoby Souhlas subjektu údajů Vždy zákonné zpracování Kdy potřebujete souhlas? Když nelze využít jiný právní titul. 4
SOUHLAS - ZÁSADY NOVÉ ÚPRAVY Vyšší standardy pro souhlas než podle stávající úpravy Souhlas je: Jednoznačný (projev vůle) Svobodný Konkrétní Informovaný Oddělitelný Oddělený Aktivní (komisivní) Jednoznačný projev vůle Psaný projev nebo jednoznačná akce podpis listiny, dvojklik Ne pasivní / konkludentní Ne předvyplněná pole / tickboxy souhlasu III 1I III 5
SOUHLAS - ZÁSADY NOVÉ ÚPRAVY Svobodný Nákup služby nebo zboží nesmí být podmíněny udělením souhlasu Nelze, pokud existuje (principiálně) nerovnovážný vztah Při výkonu úkolů a v rámci veřejné správy? Při sjednávání pracovního poměru? Konkrétní a informovaný Musí obsahovat identifikaci správce + zpracovatele + kategorie příjemců Konkrétní účely zpracování Konkrétní způsoby zpracování Konkrétní zpracovávané OÚ Konkrétní období zpracování Poučení / informaci o právu souhlas odvolat III 1I III 6
SOUHLAS - ZÁSADY NOVÉ ÚPRAVY III 1I III Oddělitelný Oddělený od jiných podmínek uživatelské smlouvy nebo VOP minimálně zvláštní ujednání Jednoznačně a srozumitelně (např. graficky, typograficky) Jednotlivé způsoby zpracování OÚ (podle účelu) separátní souhlas Výjimka: Účely jsou vzájemně jednoznačně provázané Souhlas může subjekt údajů vždy odvolat Informační povinnost správce optimálně součástí souhlasu Odvolání souhlasu musí být stejně snadné jako udělení souhlasu 7
SOUHLAS - ZÁSADY NOVÉ ÚPRAVY Identifikace osob Jmenovitě identifikovaný správce Jmenovitě identifikovaní zpracovatelé Budou souhlas používat jako odůvodnění svého zpracování OÚ Kategorie příjemců III 1I IV Dokumentování souhlasu písemná forma O čem byl subjekt údajů informován S čím aktivně projevil souhlas Kdy a jakým způsobem Dočasnost Ne souhlas ad infinitum / na dobu neurčitou V řadě případů souhlas po určité době vyprší proces obnovy 8
CHECKLIST PRO SOUHLAS III I Je souhlas správný právní titul pro zpracování OÚ? Je žádost o souhlas jasná, zřetelná a oddělená od ustanovení uživatelských podmínek? Žádáme o aktivní opt-in? Nepoužíváme předem zatržená políčka? Je text souhlasu jednoduchý a všeobecně srozumitelný? Informujeme subjekt, proč chceme OÚ zpracovávat a jak to budeme dělat? Žádáme o souhlas položkově? Uvádíme jmenovitě naši organizaci a všechny třetí strany? Informuje subjekt OÚ, že může svůj souhlas kdykoliv odvolat? Zajistili jsme, že souhlas je možné odvolat snadno a rychle? Nepodmiňujeme souhlasem poskytnutí naší služby? Pokud poskytujeme online služby přímo dětem, žádáme o souhlas pouze v souladu s našimi opatřeními pro ověření věku a získání souhlasu rodičů? 9
II. PRÁVA SUBJEKTŮ ÚDAJŮ 10
PRÁVA SUBJEKTU ÚDAJŮ III a) Automatická: Právo na informace o zpracování OÚ Právo na výmaz ( právo být zapomenut ) Právo na opravu Právo na omezení zpracování Právo nebýt předmětem automatizovaného rozhodnutí b) Na žádost subjektu údajů: Právo na přístup subjektu k OÚ Právo získat od správce OÚ potvrzení o zpracování OÚ Právo získat kopii zpracovávaných OÚ Právo na přenositelnost údajů Právo vznést námitku v případě, že zpracování provádí správce na základě svých oprávněných zájmů 11
III. POVINNOSTI SPRÁVCŮ ÚDAJŮ 12
POVINNOSTI SPRÁVCŮ A ZPRACOVATELŮ Povinnost vést záznamy o činnostech zpracování Písemné záznamy, dostupné na vyžádání dozorovému úřadu Výjimka pro malé a střední podniky do 250 zaměstnanců (jen u nahodilého zpracování, které nezahrnuje citlivé údaje Povinnost zajistit odpovídající zabezpečení OÚ přijmout vnitřní koncepce a opatření pro zabezpečené zpracování OÚ Zásady záměrné a standardní ochrany osobních údajů Neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb Pravidelné testování, posuzování a hodnocení bezpečnosti opatření Povinnost ohlašovat bezpečnostní incidenty (data breaches) Bez zbytečného odkladu, nejpozději do 72 hodin dozorovému orgánu Bez zbytečného odkladu v případě závažného úniku i subjektům OÚ Povinnost provést posouzení vlivu na ochranu osobních údajů (DPIA) a předchozí konzultace Povinnost preemptivně posoudit vliv konkrétních operací při zpracování OÚ, které představují vysoké riziko pro práva a svobody FO Povinnost předběžné konzultace s dozorovým orgánem 13
POVĚŘENEC PRO OCHRANU OÚ I Pověřenec pro ochranu OÚ Data Protection Officer (DPO) Čl. 37 a násl. GDPR Vodítko WP 29 o pověřencích (WP 243 rev. 01) Adaptace německého modelu (DSO) Kdo musí jmenovat pověřence Každý orgán veřejné moci nebo veřejný subjekt S výjimkou soudů v rámci své soudní pravomoci Subjekty provádějící v rámci svých hlavních činností: Rozsáhlé pravidelné a systematické monitorování subjektů OÚ Rozsáhlé zpracování OÚ zvláštní kategorie a údajů týkajících se rozsudků ve věcech trestních Ten, po němž to bude vyžadovat právo EU anebo právo členského státu EU => v českém právním řádu žádné aditivní požadavky 14
SHRNUTÍ DOPADŮ GDPR NA OBCE III Rozšíření informačních povinností obce jako správce vůči subjektům údajů Zavedení povinnosti vést záznamy o činnostech zpracování Zpřísnění požadavků na souhlas se zpracováním OÚ Zavedení institutu posouzení vlivu na ochranu OÚ (DPIA) Povinnost jmenovat pověřence pro ochranu OÚ (DPO) Explicitní zakotvení práva na výmaz údajů (právo být zapomenut) Zavedení práva na přenos údajů k jinému správci (data portability) Zpřísnění a zpřesnění úpravy obsahu veškeré smluvní dokumentace (dodavatelé, zpracovatelé, zaměstnanci) Přísná úprava ohlašovací povinnosti v případě porušení zabezpečení OÚ (data breaches) Sankce?? 15
IV. PROCESNÍ PŘÍPRAVA NA GDPR 16
PROCES DOSAŽENÍ SOULADU S GDPR I. Posouzení současného stavu: Stav agend obce oproti požadavkům nařízení Zmapování údajů (katalogizace a kategorizace) Revize zabezpečení zpracování údajů Provedení posouzení dopadů na ochranu soukromí II. Právní kroky: Interní předpisy a smluvní vztahy: Metodické postupy, směrnice aj. interní předpisy Revize udělených souhlasů Revize způsobu vysílání zaměstnanců k výkonu práce do zahraničí Vztahy s externími subjekty: Revize smluv o zpracování údajů 17
PROCES DOSAŽENÍ SOULADU S GDPR III. Technické a organizační kroky: Optimalizace zavedených procesů a zavedení nových operací zpracování údajů Vyřizování požadavků subjektů údajů Interní procesy pro zajištění dodržování zásad Informační bezpečnost Přenos osobních údajů třetím stranám nebo do třetích zemí Úprava informačních systémů / SW, nová řešení Dlouhodobá aktuálnost prostředí Vyškolení a pravidelné vzdělávání zaměstnanců 18
V. ČASTÉ SITUACE ZE ŽIVOTA OBCÍ 19
1. PERSONÁLNÍ PRAXE A VÝBĚROVÁ ŘÍZENÍ Příklady relevantních operací zpracování: Zpracování životopisů a dalších podkladů (např. doklad o vzdělání, doklady o dosavadní praxi, výpis z Rejstříku trestů aj.) Vedení evidence uchazečů Vypracování zprávy vedoucího úřadu/výběrové komise o posouzení a hodnocení uchazečů Uzavření smlouvy / postup po ukončení výběrového řízení Personálně-mzdová agenda zaměstnanců Právní titul pro zpracování údajů: Plnění zákonné povinnosti Oprávněný zájem obce jako (potenciálního) zaměstnavatele Související legislativa: Zákoník práce Zákon o úřednících samosprávných celků Časté problémy: Uchovávání údajů o uchazečích a zaměstnancích po dobu delší, než je nutné vzhledem k účelu Excesivní požadavky na údaje od uchazečů 20
2. ZVEŘEJŇOVÁNÍ ODMĚN ZAMĚSTNANCŮ Relevantní operace zpracování: Realizace práva na svobodný přístup k informacím Zveřejnění údajů o příjmech zaměstnance / voleného zástupce Důležité: hledisko proporcionality a veřejný zájem Právní titul pro zpracování údajů: Plnění zákonné povinnosti Související legislativa: Zákon o svobodném přístupu k informacím Časté problémy: Hledisko veřejného zájmu Proporcionalita Anonymizace osobních údajů před zveřejněním Zveřejňování osobních údajů žadatele 21
3. PLATBA MÍSTNÍCH POPLATKŮ Relevantní operace zpracování: Výběr daně/poplatku a s ním související operace: shromáždění, uspořádání a vedení evidence poplatníků / plátců poplatku; nahlížení do evidencí vedených plátci (např. evidenční kniha ubytovatele); nahlížení a využívání údajů ze základního registru obyvatel, informačního systému evidence obyvatel, informačního systému cizinců; zpřístupnění osobních údajů oprávněným příjemcům Právní titul pro zpracování údajů: Plnění úkolu ve veřejném zájmu Plnění zákonné povinnosti Související legislativa: Zákon o místních poplatcích Obecně závazné vyhlášky Časté problémy: Okruh zaměstnanců obce, kteří mají přístup k evidenci poplatků Zveřejňování plátců / neplatičů poplatků Poskytování informací o daňovém řízení třetím osobám Právo na přenositelnost 22
4. UZAVÍRÁNÍ A ZVEŘEJŇOVÁNÍ MAJETKOVÝCH TRANSAKCÍ Relevantní operace zpracování: Zpracování osobních údajů pro uzavření smlouvy Evidence smluv Zveřejnění na úřední desce obce nebo v registru smluv Právní titul pro zpracování údajů: Plnění smlouvy Plnění zákonné povinnosti Související legislativa: Zákon o registru smluv Časté problémy: Zveřejňování smluv automaticky (registr smluv, úřední deska) nebo na žádost (svobodný přístup k informacím) Proporcionalita a vztah k veřejnému zájmu Veřejný zájem u novinářské licence Zápisy z jednání zastupitelstev Zveřejňování registru uskutečněných majetkových transakcí (nájmy apod.) 23
5. ZVEŘEJŇOVÁNÍ INFORMACÍ NA ÚŘEDNÍCH DESKÁCH Relevantní operace zpracování: Zveřejnění osobních údajů Právní titul pro zpracování údajů: Plnění zákonné povinnosti Oprávněný zájem správce / veřejný zájem Související legislativa: Správní řád Časté problémy: Doručování vyvěšením na úřední desku Identifikovatelnost osoby, které se doručuje Veřejnoprávní smlouvy o poskytnutí dotace Zákonné požadavky na zveřejnění Omezení / anonymizace zveřejněných osobních údajů Dobrovolné zveřejňování a ochrana osobních údajů (proporcionalita a hledisko veřejného zájmu) 24
6. ZVEŘEJŇOVÁNÍ MATERIÁLŮ V SOUVISLOSTI S JEDNÁNÍM ORGÁNŮ OBCE Relevantní operace zpracování: Příprava podkladů pro jednání orgánů obce Zveřejňování informací o činnosti orgánů obce obsahujících osobní údaje Právní titul pro zpracování údajů: Plnění právní povinnosti Plnění úkolu ve veřejném zájmu Související legislativa: Zákon o obcích Časté problémy: Informace o navrženém programu jednání Zveřejňování obsahu jednání zastupitelstva / rady (zápis, záznam) Zveřejňování dokumentů projednaných orgány obce 25
7. ZVEŘEJŇOVÁNÍ INFORMACÍ NA WEBU OBCE Relevantní operace zpracování: Zveřejnění informací o činnosti obce Právní titul pro zpracování údajů: Veřejný zájem Oprávněný zájem obce Související legislativa: Občanský zákoník Zákoník práce Zákon o úřednících územně samosprávných celků Zákon o zpracování osobních údajů Časté problémy: Hranice veřejného zájmu a ochrany osobních údajů: Zveřejňování fotografií a kontaktů zaměstnanců a zastupitelů Hranice novinářské licence a ochrany osobních údajů: Informace a fotografie z akcí obce Sportovní, kulturní a společenský život obce 26
8. ZVEŘEJŇOVÁNÍ INFORMACÍ V MÍSTNÍCH PERIODICÍCH Relevantní operace zpracování: Zveřejňování informací o činnosti obce Objednaná inzerce Odborné články Právní titul pro zpracování údajů: Veřejný zájem Oprávněný zájem obce Plnění smlouvy Související legislativa: Občanský zákoník Autorský zákon Zákon o zpracování osobních údajů Časté problémy: Hranice novinářské licence a ochrany osobních údajů: Informace a fotografie z akcí obce Sportovní, kulturní a společenský život obce 27
9. POŘÁDÁNÍ KULTURNÍCH A SPOLEČENSKÝCH AKCÍ Relevantní operace zpracování: Adresné / neadresné poskytování informací o akcích obce Uspořádání akcí, realizace programu Ex post informování o proběhnuvších akcích Právní titul pro zpracování údajů: Veřejný zájem Oprávněný zájem Souhlas (minoritně a ve výjimečných případech) Související legislativa: Občanský zákoník Zákon o zpracování osobních údajů Zákon o obcích Časté problémy: Hranice novinářské licence a ochrany osobních údajů: Informace a fotografie z akcí obce Sportovní, kulturní a společenský život obce 28
10. ČINNOST OBECNÍ KNIHOVNY Relevantní operace zpracování: Vedení osobních údajů pro účely evidence čtenářů a výpůjček knihovny, Evidence čtenářů, výpůjční systém apod. Právní titul pro zpracování údajů: Plnění smlouvy (knihovna x čtenář) Oprávněný zájem provozovatele knihovny Souhlas (minoritně a ve výjimečných případech) Související legislativa: Občanský zákoník Časté problémy: Poskytování informací o způsobu zpracování osobních údajů Rozesílka informací o akcích knihovny a jejích partnerů Zveřejňování evidence výpůjček Zveřejňování seznamu neplatičů, dlužníků etc. 29
DĚKUJI ZA POZORNOST Mgr. Tereza Šamanová odborná garantka projektu GDPR Akademie Svaz průmyslu a dopravy ČR WWW.GDPRAKADEMIE.CZ tsamanova@spcr.cz 30